男子意外获得 7000 台扫地机器人的控制权
Hacker News 摘要原标题:Man accidentally gains control of 7k robot vacuums
一名软件工程师在尝试用游戏手柄操控他的大疆(DJI)扫地机器人时,意外获得了全球数千个家庭的监控权限。
意外的发现过程
这位名叫 Sammy Azdoufal 的工程师原本只是想开发一个自定义应用程序,以便利用游戏控制器来操纵他的新设备 DJI Romo。在开发过程中,他借助一款 AI 编程助手对机器人与大疆远程云服务器之间的通信方式进行了逆向工程。
然而他很快发现,原本用于验证其个人设备所有权的凭证存在严重漏洞。通过这些凭证,他不仅能控制自己的扫地机器人,还可以访问分布在 24 个国家的近 7000 台机器人的实时摄像头画面、麦克风音频、室内地图以及运行状态数据。
安全漏洞的影响
这个后端安全漏洞实际上将这些联网机器人变成了一支潜在的监视大军。如果这些权限落入不怀好意的人手中,攻击者可以在用户毫不知情的情况下进行远程监控。
Sammy Azdoufal 发现的具体权限包括:
• 实时音视频流:可以远程开启摄像机并监听麦克风。
• 室内地图:能够获取扫地机器人生成的 2D 户型图。
• 地理位置:通过机器人的 IP 地址可以查看到大致的地理位置信息。
Sammy 强调这并不是真正意义上的黑客攻击,他只是在尝试 DIY 功能时无意中撞见了这个巨大的安全隐患。他随后将发现的情况分享给了相关媒体,并由媒体协助告知了大疆公司。
厂商的回应与修复
大疆官方在接受采访时表示,该漏洞已经得到解决。公司称在 1 月下旬通过内部审查发现了相关安全问题,并立即启动了修复程序。大疆分别于 2026 年 2 月 8 日和 2 月 10 日通过两次自动更新部署了补丁,用户无需进行额外操作。
涉事设备详情
此次涉及的设备是 DJI Romo,这是一款去年在中国率先推出并逐步推向全球市场的自主家庭扫地机器人。它的售价约为 2000 美元,尺寸相当于一只大型梗类犬。
为了实现自主清洁和避障,这款机器人配备了大量传感器,需要不断收集建筑内部的视觉数据。它必须识别出厨房与卧室的区别,而部分感测数据存储在大疆的云端服务器上。漏洞的根源在于,服务器在验证安全令牌(Security Token)时出现了失误,直接将 Sammy 的请求视为数千台机器人的合法所有者。
智能家居的隐私隐忧
这一事件再次引发了网络安全专家对物联网设备安全性的担忧。随着越来越多的家庭引入智能机器人,隐私泄露的风险正在增加。
• AI 工具的双刃剑效应:AI 编程工具降低了技术门槛,使得缺乏深厚技术背景的人也能更容易地发现或利用软件漏洞。
• 行业普遍现象:近期类似案例频发。亚马逊旗下的 Ring 摄像头因隐私保护问题受到社交媒体质疑;谷歌的 Nest 门铃也被曝出在某些情况下可以被调取视频监控,引发了关于消费者对自身数据控制权的讨论。
• 未来风险:包括特斯拉(Tesla)和 Figure 在内的多家公司正在竞相开发类人自主机器人。这些机器人将深入人类最私密的空间工作,为了更好地服务,它们会收集前所未有的家庭细节数据。对于跟踪者或黑客来说,这无疑是一座潜在的信息金矿。